Datenschutzvorfall in München: 120.000 sensible Schuldaten im Darknet?

In München sorgt ein Zeitungsbericht für Aufregung, der nahelegt, dass personenbezogene Daten von mehr als 120.000 Schülerinnen und Schülern aus der Stadt im Darknet kursieren . Das IT-Unternehmen, bei dem die Daten vorgehalten werden, hat nach eigenen Angaben erst aus der Zeitung von dem Vorfall erfahren. Dabei bezieht sich die Firma namens LHM-Services auf einen Bericht der Abendzeitung, in dem es heißt, dass die sensiblen Daten „dort gelandet sind, wo sie nie sein dürften“. LHM-S kritisiert, dass die angeblich betroffenen Datensätze auch nach Aufforderung nicht zur Prüfung weitergegeben wurden. Eine auf Darknet-Recherchen spezialisierte Firma habe keinen Hinweis darauf finden können, „dass diesbezügliche Datensätze im Darknet auffindbar und/oder allgemein verfügbar sind“.

Viele Vorwürfe, wenig bekannt

Auslöser der Aufregung ist der Exklusivbericht der Abendzeitung, der aber an wichtigen Stellen undeutlich wird. Im Kern geht es darum, dass zehntausende Namen, Anschriften, Geburtsdaten, Staatsangehörigkeiten und Schulen für Unbefugte einsehbar gewesen sein sollen, wo genau ist aber unklar. Die Zeitung hat die Daten demnach stichprobenartig überprüft und deren Echtheit damit bestätigt. LHM-S verwaltet die Daten als Tochtergesellschaft der Stadt München und in deren Auftrag für die Bildungseinrichtungen in Bayerns Landeshauptstadt. Die Firma versichert, man könne zu dem „Verdacht eines angeblichen Datenlecks aktuell nicht bestätigen und keine Angaben zu Umfang, Art und Inhalt der angeblich öffentlich zugänglichen Daten machen“.

LHM-S weist jetzt darauf hin, dass auch in dem Zeitungsbericht explizit offen gelassen werde, „ob und wie weit diese Daten überhaupt zirkulieren“. Wörtlich heißt es in dem Artikel, „teils über das Darknet transferiert, gelangten die Bestände schließlich an die AZ – was die Frage aufwirft, ob und wie weit sie zirkulieren“. LHM-S ergänzt, dass in diesem Zusammenhang auch das „potenziell auffällige Downloadverhalten eines gekündigten Ex-Mitarbeiters“ untersucht würde, der Zugriff auf solche Daten gehabt habe. Das Unternehmen schreibt weiter, dass man unverzüglich Bayerns Landesdatenschutzbeauftragten informiert und Strafanzeige gegen Unbekannt erstattet habe. Man arbeite mit Hochdruck an der Aufklärung.

Die Abendzeitung setzt den aktuellen Vorfall in dem Artikel auch noch in einen Zusammenhang zu früheren Sachverhalten. Laut dem Artikel geht es um angeblich nicht ausreichend abgesicherte SharePoint-Server . Ein Hinweisgeber habe geschildert, der Speicher sei so eingestellt gewesen, „dass praktisch jeder (intern und extern) im Haus die Daten habe einsehen können“. Was genau damit gemeint ist, ist unklar. LHM-S weist die „Vorhaltungen zu abgeschlossenen Sachverhalten aus den Jahren 2023 und 2024 mit Nachdruck zurück“. Das sei intern und extern geprüft worden, eine Zugriffsmöglichkeit für unbefugte Personen außerhalb der Firma habe zu keiner Zeit bestanden. Deshalb habe auch keine Meldepflicht bestanden.

Die Politik reagiert

LHM-S ergänzt in der Stellungnahme noch, dass vieles dafür spreche, dass auch jetzt Daten nicht frei verfügbar seien, „sondern mutmaßlich gezielt Dritten für eine presseöffentliche Verwertung zugespielt wurden“. Die AZ schreibt auch an keiner Stelle, dass die Daten im Darknet verfügbar waren. Münchens Oberbürgermeister Dominik Krause (Grüne) hat die eingeleiteten Ermittlungen begrüßt und versichert, dass er großen Wert auf die Einhaltung datenschutzrechtlicher Vorgaben lege, zitiert der BR. Mögliche Verstöße müssten vollumfänglich aufgeklärt werden. Im Stadtrat wurde demnach ein Dringlichkeitsantrag gestellt, das Thema im IT-Ausschuss zu besprechen.

(mho)